Ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη-μέλη της Ε.Ε. καθιερώνεται πλέον από την 25η Μαΐου... Ένας νόμος ο οποίος έχει άμεση σχέση με τον ιατρικό κλάδο.
Με βάση την εξέλιξη αυτή, η Σύνοδος προέδρων των Ιατρικών Συλλόγων της χώρας, που έγινε το περασμένο Σάββατο 28 Απριλίου, είχε ως θέμα “Ο Γενικός Κανονισμός Προστασίας Δεδομένων στην καθημερινότητα ενός γιατρού”, στο πλαίσιο της οποίας έγινε ενημέρωση σχετικά με τον Γενικό Κανονισμό για την Προστασία Δεδομένων - ΓΚΠΔ (General Data Protection Regulation - GDPR) και το τι συνεπάγεται η εφαρμογή του στην επαγγελματική συμπεριφορά κάθε ιατρού.
Ο Κανονισμός 2016/679, γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ (General Data Protection Regulation - GDPR), ψηφίστηκε πριν δύο χρόνια (τον Απρίλιο του 2016). Με την εφαρμογή του κανονισμού αυτού, όπως τονίζει στο σημείωμά του ο πρόεδρος του Ιατρικού Συλλόγου Ηρακλείου Χάρης Βαβουρανάκης, «ενδυναμώνονται τα δικαιώματα των φυσικών προσώπων ως προς την ενημέρωση, την πρόσβαση και τη διόρθωση των προσωπικών τους δεδομένων, τον περιορισμό της επεξεργασίας τους, την εναντίωση στην επεξεργασία αυτών, τη διαγραφή, τη μεταφορά και την αποστολή των προσωπικών τους δεδομένων. Επίσης αυξάνονται οι υποχρεώσεις των υπευθύνων της επεξεργασίας των δεδομένων.
Με άξονες τη διαφάνεια και τη λογοδοσία, ο υπεύθυνος επεξεργασίας έχει την ευθύνη συμμόρφωσης και απόδειξης ορθής τήρησης της διαδικασίας επεξεργασίας. Επιβάλλει, επίσης, την προστασία δεδομένων κατά τον σχεδιασμό (χρήση-επιλογή προγραμμάτων με ρυθμίσεις αυξημένης προστασίας και ασφάλειας), την προστασία δεδομένων εξ ορισμού (τεχνικά μέτρα και προγράμματα επεξεργασίας μόνο των δεδομένων απαραίτητων για τον σκοπό της επεξεργασίας), την ασφάλεια επεξεργασίας (εφαρμογή τεχνικών ρυθμίσεων-πρωτόκολλο ασφαλείας στα ήδη υπάρχοντα προγράμματα), τη γνωστοποίηση διαρροής δεδομένων (από τη στιγμή που θα γίνει αντιληπτή και εντός 72 ωρών στην Αρχή Προστασίας) και τον Υπεύθυνο Προστασίας Δεδομένων (DPO). Ο DPO αποτελεί υποχρέωση σε όλα τα ΝΠΔΔ που επεξεργάζονται προσωπικά δεδομένα και όπου διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων».
Υποχρέωση όλων των γιατρών
Τι προβλέπει ο Κώδικας Ιατρικής Δεοντολογίας
Σύμφωνα με τον Κώδικα Ιατρικής Δεοντολογίας, όπως τονίζει στο σημείωμά του ο κ. Βαβουρανάκης, ο ιατρός έχει την υποχρέωση να τηρεί ιατρικό αρχείο, σε ηλεκτρονική ή χειρόγραφη μορφή. Το ιατρικό αρχείο περιέχει δημογραφικά στοιχεία και το ιατρικό ιστορικό (ονοματεπώνυμο, πατρώνυμο, φύλο, ηλικία, επάγγελμα, διεύθυνση ασθενούς, ημερομηνία επίσκεψης, καθώς και δεδομένα που συνδέονται με την ασθένεια, την υγεία του, τη διάγνωση, τα αποτελέσματα εξετάσεων και τη θεραπεία).
Με τον όρο “επεξεργασία δεδομένων” εννοείται κάθε πράξη που πραγματοποιείται (ηλεκτρονικά ή χειρόγραφα) σε προσωπικά και ευαίσθητα δεδομένα. Η συλλογή, η οργάνωση, η χρήση, η αποθήκευση, ακόμα και η διαγραφή προσωπικών δεδομένων ασθενών από οποιοδήποτε επαγγελματία υγείας θεωρείται επεξεργασία δεδομένων.
Παράλληλα, με τον ΓΚΠΔ ενισχύονται σημαντικά τα δικαιώματα των ασθενών σχετικά με τα προσωπικά τους δεδομένα. «Είναι προφανές ότι αυξάνονται οι υποχρεώσεις των ιατρών ως υπευθύνων επεξεργασίας, οι οποίοι επιφορτίζονται με την αρχή της λογοδοσίας (άρθρο 5). Η αρχή της λογοδοσίας αναλύεται σε επιμέρους ενέργειες που πρέπει να πραγματοποιεί ο γιατρός, ο οποίος, ως υπεύθυνος επεξεργασίας, φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις γενικές αρχές που προβλέπει ο ΓΚΠΔ», σημειώνει ο κ. Βαβουρανάκης, συμπληρώνοντας, ωστόσο, μερικά πρακτικά θέματα που προκύπτουν από την εφαρμογή του στην καθημερινή επαγγελματική δραστηριότητα του ιατρού:
Όταν η επεξεργασία βασίζεται στη συγκατάθεση, ο υπεύθυνος πρέπει να μπορεί να αποδείξει τη συγκατάθεση χειρόγραφα ή ηλεκτρονικά, με e-mail (άρθρο 7). Επίσης προβλέπεται η υποχρέωση του γιατρού να παρέχει στον ασθενή γραπτώς ή και ηλεκτρονικά τις πληροφορίες που αφορούν επεξεργασία των δεδομένων τους (άρθρο 12).
Για την ελαχιστοποίηση του λάθους στην αποστολή των δεδομένων ηλεκτρονικά, ο γιατρός θα πρέπει να ζητήσει από τον ασθενή να αποστείλει πρώτος ηλεκτρονικό μήνυμα έτσι ώστε να ακολουθεί η δική του απάντηση ως απαντητικό μήνυμα.
Παράλληλα, προβλέπεται η υποχρέωση χορήγησης αντιγράφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, όταν ο ασθενής το ζητήσει από τον γιατρό του (άρθρο 15).
H αρχή της λογοδοσίας αφορά και τον εκτελούντα την επεξεργασία, ο οποίος επιλέγεται από τον υπεύθυνο επεξεργασίας. Η επεξεργασία διενεργείται κατόπιν γραπτής σύμβασης δεσμευτικής για τον εκτελούντα, ο οποίος επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τις καταγεγραμμένες εντολές του υπευθύνου επεξεργασίας (άρθρο 28).
Προβλέπεται ο γιατρός ως υπεύθυνος επεξεργασίας αλλά και ο εκτελών την επεξεργασία να τηρεί αρχείο δραστηριοτήτων επεξεργασίας (άρθρο 30). Στο αρχείο αυτό καταγράφει ενδελεχώς τα δεδομένα που τηρεί και μεταβιβάζει, τις επεξεργασίες στις οποίες προβαίνει, τον σκοπό και τη νομική βάση αυτών. Το αρχείο αυτό πρέπει να είναι πάντα στη διάθεση της Εποπτικής Αρχής όταν το ζητήσει.
Προβλέπεται ακόμη η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33). Εντός 72 ωρών από τη στιγμή που ο γιατρός αντιλαμβάνεται την παραβίαση οφείλει να τη γνωστοποιήσει, αναλυτικά, αιτιολογημένα και τεκμηριωμένα, στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ο Υπεύθυνος Προστασίας Δεδομένων
Τέλος, όπως επισημαίνεται, ο DPO (Υπεύθυνος Προστασίας Δεδομένων) αποτελεί υποχρέωση όλων των ΝΠΔΔ που επεξεργάζονται προσωπικά δεδομένα και όπου διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων. Έχει την ευθύνη της παρακολούθησης, της συμμόρφωσης και των πολιτικών προστασίας προσωπικών δεδομένων του υπευθύνου ή εκτελούντος την επεξεργασία (άρθρο 39).
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών σε ιατρεία, όπου η σχέση ιατρού-ασθενούς είναι προσωπική, δε θεωρείται ότι είναι μεγάλης κλίμακας, επομένως δε χρειάζεται DPO. Σε κλινικές και νοσοκομεία, ωστόσο, αποτελεί υποχρέωση ο ορισμός DPO. Σε ενδιάμεσες περιπτώσεις, πολυϊατρεία ή διαγνωστικά εργαστήρια, είναι απαραίτητη η νομική συμβουλή για την αξιολόγηση του όγκου επεξεργασίας και δεδομένων.
